Bug 38220 (CVE-2020-0556)

Summary: [PATCH] уязвимость в bluez до 5.52 включительно
Product: Sisyphus Reporter: Michael Shigorin <mike>
Component: bluezAssignee: Konstantin A Lepikhov (L.A. Kostis) <lakostis>
Status: CLOSED FIXED QA Contact: qa-sisyphus
Severity: normal    
Priority: P3 CC: aris, lakostis, shrek, zerg
Version: unstableKeywords: security
Hardware: all   
OS: Linux   
URL: http://www.opennet.ru/opennews/art.shtml?num=52542
See Also: https://bugzilla.altlinux.org/show_bug.cgi?id=37532

Description Michael Shigorin 2020-03-14 15:56:56 MSK 
Пишут, что из-за некорректной проверки доступа в реализации Bluetooth-профилей HID и HOGP уязвимость позволяет без прохождения процедуры привязки устройства к хосту добиться отказа в обслуживании или повышения своих привилегий при подсоединении вредоносного Bluetooth-устройства. Вредоносное Bluetooth-устройство, без прохождения процедуры сопряжения, может выдать себя за другое HID-устройство (клавиатура, мышь, игровые контроллеры и т.п.) или организовать скрытую подстановку данных в подсистему ввода.

Патчи:
https://patchwork.kernel.org/patch/11428317/
https://patchwork.kernel.org/patch/11428319/
Comment 1 Repository Robot 2020-03-15 22:31:12 MSK 
bluez-5.54-alt1 -> sisyphus:

 Sun Mar 15 2020 L.A. Kostis <lakostis@altlinux.ru> 5.54-alt1
 - 5.54;
 - remove merged patches;
 - security fixes:
   + CVE-2020-0556 (closes #38220).